Академический Документы
Профессиональный Документы
Культура Документы
PERUANA 2008
Comisin de Normalizacin y de Fiscalizacin de Barreras Comerciales No Arancelarias - INDECOPI
Calle De La Prosa 138, San Borja (Lima 41) Apartado 145 Lima, Per
2008-12-12
1 Edicin
pgina
NDICE i
PREFACIO ii
INTRODUCCIN iv
1. ALCANCE 1
2. REFERENCIAS NORMATIVAS 2
3. TRMINOS Y DEFINICIONES 3
5. RESPONSABILIDAD DE LA GERENCIA 14
9. ANTECEDENTES 21
ANEXO
ANEXO A 22
ANEXO B 43
ANEXO C 45
BIBLIOGRAFA 49
i
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
PREFACIO
A. RESEA HISTRICA
ii
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
ENTIDAD REPRESENTANTE
iii
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
INTRODUCCIN
Esta Norma Tcnica Peruana puede usarse en el mbito interno y externo de las
organizaciones.
Esta Norma Tcnica Peruana promueve la adopcin de un enfoque del proceso para
establecer, implementar, operar, monitorear, mantener y mejorar la efectividad de un
ISMS en la organizacin.
iv
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
b) implementar y operar controles en el contexto de administrar el riesgo
total del negocio de una organizacin;
La adopcin del modelo PDCA tambin reflejar los principios como se establecieron
en la pautas de OECD (2002)1 para la gobernabilidad de los sistemas y redes de la
seguridad de informacin. Esta Norma Tcnica Peruana provee un modelo para
implementar los principios en las pautas que gobiernan la evaluacin del riesgo, el
diseo e implementacin de la seguridad, la gestin de seguridad y la reevaluacin.
EJEMPLO 1
EJEMPLO 2
Una expectativa podra ser que si ocurriera un incidente serio que afecte el web site
del negocio de una organizacin debe existir personal capacitado en procedimientos
adecuados para minimizar el impacto.
1
OECD Gua para la seguridad de los Sistemas de Informacin y Redes Hacia una cultura de seguridad.
Paris: OECD, Julio 2002. www.oecd.org
v
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
Planear
Establecer el
ISMS
Monitorear
Requisito y y revisar el
expectativas de ISMS Gestin de la
seguridad de Seguridad de la
Verificar
informacin Informacin
vi
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
0.3 Compatibilidad con otros sistemas de gestin
Esta Norma Tcnica Peruana est alineada con la ISO 9001:2000 y la ISO 14001:2004
con el fin de respaldar una implementacin y operacin consistente e integrada con las
normas de gestin afines. Un sistema de gestin convenientemente diseado puede
satisfacer as los requisitos de todos estos estndares. Tabla C.1, ilustra la relacin entre
los captulos de esta norma, ISO 9001:2000 y la ISO 14001:2004.
Esta Norma Tcnica Peruana est diseada para hacer posible que una organizacin se
alinee o integre su ISMS con los requisitos de los sistemas de gestin relacionados.
---oooOooo---
vii
PROHIBIDA LA REPRODUCCIN TOTAL O PARCIAL
NORMA TCNICA NTP-ISO/IEC 27001
PERUANA 1 de 49
IMPORTANTE: Esta Norma Tcnica Peruana no pretende incluir todos los trminos necesarios para un
contrato. Los usuarios son responsables de su correcta aplicacin. Cumplir con una norma no confiere en s
mismo inmunidad de las obligaciones legales.
1. ALCANCE
Esta Norma Tcnica Peruana cubre todo los tipos de organizaciones (como por ejemplo:
empresas comerciales, agencias de gobierno y organizaciones sin fines de lucro). Esta NTP
especifica los requisitos para establecer, implementar, operar, monitorear, revisar, mantener
y mejorar un ISMS documentado dentro del contexto de los riesgos de negocio de la
organizacin. Especifica los requisitos para implementar los controles de seguridad
adaptado a las necesidades individuales de las organizaciones o partes de las mismas.
NOTA 1: Las referencias de negocio en esta Norma Tcnica Peruana deben ser interpretadas
ampliamente para representar las actividades que son base para los propsitos de la existencia de la
organizacin.
NOTA 2: La ISO/IEC 17799 provee pautas de implementacin que pueden ser utilizadas cuando se
designen controles.
1.2 Aplicacin
Los requisitos establecidos en esta NTP son generales y tienen la intencin de aplicarse a
todas las organizaciones, sin tomar en cuenta el tipo, tamao y naturaleza del negocio.
Cuando una organizacin reclama conformidad con esta norma, no es aceptable excluir
cualquiera de los requisitos especificados en los captulos 4, 5, 6, 7 y 8.
NOTA: Si una organizacin ya posee un sistema operativo de gestin de procesos de negocio (por
ejemplo en relacin con la ISO 9001 o ISO 14001), es preferible, en la mayora de los casos, satisfacer
los requisitos de esta NTP dentro de los sistemas de gestin existentes.
2. REFERENCIAS NORMATIVAS
Las siguientes normas contienen disposiciones que al ser citadas en este texto, constituyen
requisitos de esta Norma Tcnica Peruana. Las ediciones indicadas estaban en vigencia en
el momento de esta publicacin. Como toda Norma est sujeta a revisin, se recomienda a
aquellos que realicen acuerdos en base a ellas, que analicen la conveniencia de usar las
ediciones recientes de las normas citadas seguidamente. El Organismo Peruano de
Normalizacin posee la informacin de las Normas Tcnicas Peruanas en vigencia en todo
momento.
3. TRMINOS Y DEFINICIONES
Para los fines de esta Norma Tcnica Peruana, se aplican los siguientes trminos y
definiciones:
3.12 estimacin del riesgo: Proceso total de anlisis y evaluacin del riesgo.
[ISO/IEC Guide 73:2002]
3.13 evaluacin del riesgo: Proceso de comparacin del riesgo estimado frente
al criterio de riesgo para determinar el significado del riesgo.
[ISO/IEC Guide 73:2002]
3.14 gestin del riesgo: Actividades coordinadas para dirigir y controlar el riesgo
en una organizacin.
[ISO/IEC Guide 73:2002]
NOTA: los objetivos y controles estn basados en los resultados y conclusiones de los procesos de
evaluacin del riesgo y tratamiento del riesgo, requisitos legales o regulatorios, obligaciones
contractuales y los requisitos de negocio de la informacin de seguridad de la organizacin.
NOTA: Para propsitos de esta Norma Tcnica Peruana, la poltica de ISMS es considerada como un
conjunto de la poltica de la seguridad de informacin. Estas polticas pueden ser descritas en otro
documento.
NOTA: Existen diferentes metodologas para una evaluacin de riesgos. Los ejemplos de
metodologas de evaluacin de riesgos son discutidas en la ISO/IEC TR 13335-3.
1) Identificar los activos dentro del alcance del ISMS y los propietarios2 de
estos activos.
2) Identificar las amenazas a esos activos.
3) Identificar las vulnerabilidades que podran explotarse mediante estas
amenazas.
4) Identificar los impactos de prdidas de confidencialidad, integridad y
disponibilidad sobre los activos.
2
El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.
Los objetivos de control y controles del Anexo A deben ser seleccionados como parte
del proceso as como adecuados para cubrir los requisitos identificados.
NOTA: El Anexo A contiene una lista comprensible de objetivos de control que han sido encontrados
como relevantes para las organizaciones. Los usuarios de esta NTP son dirigidos a este Anexo A como
un punto de partida para la seleccin de controles con el fin de asegurar que no se hayan obviado
opciones de control importantes.
NOTA: Medir la efectividad de los controles permite a los gerentes y al personal determinar que tan
bien los controles logran los objetivos de control planeados.
1) la organizacin;
2) la tecnologa;
3) los objetivos y procesos del negocio;
4) amenazas identificadas;
5) efectividad de los controles implementados; y
6) eventos externos, tales como cambios en el ambiente legal o regulatorio,
cambios en obligaciones contractuales y en el clima social;
NOTA: Las auditoras internas son conducidas por, o a favor de, la misma organizacin, para
propsitos internos.
Es importante ser capaz de demostrar la relacin de los controles seleccionados con los
resultados de la evaluacin de riesgos y el proceso de tratamiento de riesgos as como
subsecuentemente a las polticas y objetivos de ISMS.
i) declaracin de aplicabilidad.
NOTA 1: Cuando aparece el trmino procedimiento documentado dentro de esta norma, significa
que el procedimiento est establecido, documentado, implementado y mantenido.
NOTA 2: La extensin de la documentacin del ISMS puede diferir de una organizacin a otra
dependiendo de:
- El tamao de la organizacin y el tipo de actividades; y
- El alcance y complejidad de los requisitos de seguridad y del sistema a ser administrado.
NOTA 3: Los documentos y registros pueden tener cualquier forma y tipo de medio.
Se mantendrn los registros del rendimiento del proceso como se seala en 4.2 y de todos
los incidentes de seguridad relacionados con el ISMS.
EJEMPLO:
5. RESPONSABILIDAD DE LA GERENCIA
g) asegurar que las auditoras internas del ISMS sean realizadas (vase capitulo
6); y
a) determinando las aptitudes necesarias del personal que lleva a cabo labores
vinculadas al ISMS;
La organizacin tambin debe garantizar que todo el personal pertinente tome conciencia
de la relevancia e importancia de las actividades de seguridad de la informacin y cmo
estas contribuyen al logro de los objetivos del ISMS.
La gerencia responsable del rea que est bajo auditora garantizar que las acciones se
ejecuten sin retrasos indebidos, con el fin de eliminar las no conformidades detectadas y
sus causas. Las actividades de mejora incluyen la verificacin de las acciones tomadas y el
reporte de los resultados de verificacin (vase captulo 8).
NOTA: ISO 19011:2002, Gua para la calidad y/o gestin de sistemas de auditora del medio
ambiente, pueden proveer una gua til para llevar a cabo una auditora ISMS interna.
1) requisitos de negocio;
2) requisitos de seguridad;
3) procesos de negocio que afectan los requisitos de negocio existentes;
4) marco regulatorio o legal;
5) obligaciones contractuales; y
6) niveles de riesgo y/o criterios de aceptacin de riesgos.
d) Necesidades de recursos.
NOTA: Las acciones para prevenir no conformidades con frecuencia son ms econmicas que las
acciones correctivas.
9. ANTECEDENTES
ANEXO A
(NORMATIVO)
Los objetivos de control y los controles que figuran en la tabla A.1 se derivan y alinean
directamente con los que figuran en NTP-ISO/IEC 17799:2007, captulos 5 a 15. Las listas
en estas tablas no son exhaustivas y la organizacin puede considerar que son necesarios
objetivos de control y controles adicionales. Los objetivos de control y los controles de
estas tablas deben seleccionarse como parte del proceso ISMS especificado en 4.2.1.
3
El termino propietario identifica a un individuo o entidad que aprueba la responsabilidad por la gestin
por controlar la produccin, desarrollo, mantenimiento, uso y seguridad de los activos. El trmino
propietario no significa que la persona tiene algn derecho de propiedad realmente sobre el activo.
4
Explicacin: la palabra empleo se utiliza aqu para cubrir las siguientes situaciones diferentes: empleo de
las personas (temporalmente o durante largo tiempo), designando roles de trabajo, cambiando roles de
trabajo, asignando contratos, y la terminacin de cualquiera de estos arreglos.
A.10.10 Monitoreo
Objetivo de control: Detectar actividades de procesamiento de informacin no autorizadas.
A.10.10.1 Registro de auditora Control
A.15 Cumplimiento
A.15.2 Cumplimiento con las polticas y estndares de seguridad y del cumplimiento tcnico
Objetivo de control: Asegurar el cumplimiento de los sistemas con las polticas y normas de
seguridad organizacionales.
ANEXO B
(INFORMATIVO)
Los principios dados en las Pautas OECD para la Seguridad de los Sistemas y Redes de
Informacin se aplican a todos los niveles polticos y operativos que rigen la seguridad de
los sistemas de informacin y redes. Esta NTP ofrece un marco para el sistema de gestin
de la seguridad de la informacin para implementar algunos de los principios OECD
usando el modelo PDCA y los procesos descritos en los captulos 4, 5, 6, y 8 como se
indica en la Tabla B.1
ANEXO C
(INFORMATIVO)
La tabla C.1 muestra la correspondencia entre la norma ISO 9001:2000, ISO 14001:2004 y
esta NTPperuana
TABLA C.1 Correspondencia entre ISO 9001:2000, ISO 14001:2004 y esta Norma
4.2 Establecimiento y
administracin de ISMS
5 Responsabilidad de la 5 Responsabilidad de la
gerencia gerencia
5.5 Responsabilidad,
autoridad y comunicacin
6.3 Infraestructura
6 Auditoras internas del ISMS 8.2.2 Auditora interna 4.5.5 Auditora interna
7 Revisin gerencial del ISMS 5.6 Revisin gerencial 4.6 Revisin gerencial
BIBLIOGRAFA
Publicaciones
Otras publicaciones
3. Deming W.E., Out of the Crisis, Cambridge, Mass: MIT, Center for
Advanced Engineering Study, 1986